Avanzi Ransomware förväntar sig betalning i Bitcoin

Under granskningen av nya prover av skadlig programvara identifierade vi en ransomware-variant vid namn Avanzi, associerad med Dharma-familjen. När den väl har infiltrerat en dator framgångsrikt, krypterar Avanzi filer, ändrar filnamn, visar en lösennota och genererar ytterligare en anteckning i filen "info.txt".

Avanzi lägger till offrets ID, avanziahelp@cock.li e-postadress och tillägget ".avan" till filnamn. Till exempel omvandlar den "1.jpg" till "1.jpg.id-9ECFA84E.[avanziahelp@cock.li].avan", "2.png" till "2.png.id-9ECFA84E.[avanziahelp@cock .li].avan" och så vidare.
Lösenbeloppet som utfärdas av Avanzi ransomware börjar med en förklaring om att alla filer har krypterats, följt av en försäkran om att återställning är möjlig. Offren uppmanas att kontakta angriparna via e-post (avanziahelp@cock.li) inom ett 12-timmarsfönster, med ett alternativt e-postmeddelande (avanzirest@tuta.io) i händelse av försenat svar.

Anteckningen utökar en goodwill-gest och erbjuder gratis dekryptering för upp till tre filer, vilket betonar specifika villkor för kvalificering. Dessutom får offer vägledning om att skaffa Bitcoins, den föredragna lösenbetalningen, och varnas för vissa åtgärder, som att byta namn på filer eller försöka dekryptera från tredje part, för att förhindra permanent dataförlust eller falla offer för bedrägerier.

Avanzi Ransom Note håller det kort

Den fullständiga texten i filen "info.txt" som genereras av Avanzi lyder som följer:

all your data has been locked us

You want to return?

write email avanziahelp@cock.li or avanzirest@tuta.io

Den längre texten inuti popup-fönstret nämner heller aldrig en exakt lösensumma, bara instruktioner om hur man skaffar Bitcoin. Texten i popup-fönstret ser ut så här:

Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Gratis dekryptering som garanti
Innan du betalar kan du skicka oss upp till 3 filer för gratis dekryptering. Den totala storleken på filer måste vara mindre än 3 Mb (ej arkiverade), och filer bör inte innehålla värdefull information. (databaser, säkerhetskopior, stora excelark, etc.)

Hur man skaffar Bitcoins

Du kan också hitta andra ställen att köpa Bitcoins och nybörjarguide här:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uppmärksamhet!
Byt inte namn på krypterade filer.
Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.
Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger till sin avgift till vår) eller så kan du bli offer för en bluff.

Hur kan du skydda dina filer från Ransomware liknande Avanzi?

Att skydda dina filer från ransomware-hot, såsom Avanzi, innebär att implementera en kombination av proaktiva åtgärder för att förhindra infektioner och att ha en robust återhämtningsplan om en attack inträffar. Här är några rekommendationer:

Regelbundna säkerhetskopior:
Säkerhetskopiera dina viktiga filer regelbundet till en extern enhet eller en säker molntjänst.
Se till att säkerhetskopieringsprocessen är automatiserad och frekvent, så att du alltid har uppdaterade kopior av dina data.

Offline säkerhetskopior:
Håll minst en uppsättning säkerhetskopior offline eller frånkopplad från ditt nätverk för att förhindra ransomware från att nå och kryptera dem.

Säkerhetsprogramvara:
Använd välrenommerade antivirus- och anti-malware-program för att upptäcka och blockera ransomware-hot.
Håll din säkerhetsprogramvara, ditt operativsystem och dina applikationer uppdaterade med de senaste korrigeringarna och uppdateringarna.

E-post och webbfiltrering:
Implementera e-postfiltreringslösningar för att identifiera och blockera nätfiske-e-postmeddelanden som kan innehålla ransomware.
Använd webbfiltreringsverktyg för att blockera åtkomst till skadliga webbplatser som kan distribuera ransomware.

Applikationsvitlista:
Använd vitlista för applikationer för att tillåta att endast godkända program körs på ditt system, vilket förhindrar att obehöriga applikationer, inklusive ransomware, körs.